Saltar al contenido principal
Volver a la biblioteca
Riesgo altoIngeniería social· Nivel basico

Smishing y vishing

Phishing por SMS y por llamada telefónica. Crece año a año porque saltan los filtros del correo y explotan la inmediatez del móvil. INCIBE registra el smishing como el fraude digital más reportado por particulares en España.

Qué es

Qué son

  • Smishing: phishing por SMS o servicios de mensajería (WhatsApp, Telegram). "Tu paquete está retenido, paga 1,99 €", "Soy de tu banco, hemos detectado un cobro sospechoso, confirma aquí".
  • Vishing: phishing por llamada. "Le llamo de Microsoft, hemos detectado un virus en su ordenador, instale este software remoto". Cada vez más asistido por IA para clonar voces.

Por qué funcionan en el móvil

  • Urgencia y contexto: "Tu paquete" cuando casi todo el mundo está esperando algún envío.
  • Pantalla pequeña: los enlaces se ven truncados, el dominio real queda oculto.
  • Acción rápida: un SMS se contesta con el pulgar en 5 segundos sin pensar.
  • Saltan al filtro: no pasan por el antiphishing de la empresa porque el móvil corporativo es difícil de filtrar a nivel SMS.
  • Vishing con voz clonada: con muestras de voz de redes sociales o reuniones grabadas, un atacante clona la voz de un familiar o un directivo en minutos ("papá, he tenido un accidente, necesito un Bizum urgente").

Señales

  • Remitente raro: SMS de un número largo internacional, número corto desconocido, o un "alias" suplantando una marca real.
  • Enlaces acortados o con TLDs raros (.click, .top, .work, .ml).
  • Tasas mínimas absurdas (1,99 €): el objetivo no es el cobro, es robar la tarjeta.
  • Petición de Bizum o transferencia por canales informales por parte de "un familiar" desde un número desconocido.
  • Llamada que pide instalar AnyDesk, TeamViewer o similar: el técnico real no entra en tu ordenador sin un proceso formal con tu IT.
Prevención

Hábitos

  • No haces clic en enlaces de SMS. Si te llega "tu paquete está retenido", entras a la web del transportista escribiendo la URL a mano.
  • El banco nunca te pide credenciales completas ni datos de tarjeta por SMS o teléfono. Si dudas, cuelgas y llamas al número que aparece detrás de tu tarjeta.
  • Verifica las llamadas internas de "IT" o "recursos humanos" sospechosas pidiendo credenciales o instalar software: cuelga y llama tú al número conocido.
  • Establece una palabra clave familiar para llamadas urgentes con voz clonada ("si alguna vez te llamo pidiendo dinero, te diré la palabra X").

A nivel organización

  • Política clara de canales válidos para temas sensibles: "finanzas nunca pide IBAN por WhatsApp", "IT nunca pide tu contraseña por llamada".
  • Verificación cruzada para cambios de cuenta de cobro o nómina (ver BEC).
  • Difundir incidentes recientes (anonimizados) en el equipo para mantener la antena puesta.
Si ocurre

Si has hecho clic en un enlace de smishing o has compartido datos por llamada: aplica los pasos del protocolo de phishing y avisa al banco si la información comprometida es financiera.

Práctica recomendada

Pon a prueba lo que has leído en estos escenarios del simulador: